Отказ от грубого спама и тотальная маскировка под рутину. Как изменилась тактика Kimsuky к апрелю 2026 года
NewsMakerТеперь атака начинается там, где пользователь меньше всего ожидает подвоха.
Северокорейская группировка Kimsuky больше не ограничивается грубой рассылкой вредоносных файлов. В новых атаках на военные и корпоративные структуры Южной Кореи злоумышленники подделывали привычные рабочие страницы, использовали реальные детали встреч и прямо через браузер проверяли, запустила ли жертва вредоносную программу.
Команда ENKI Whitehat сообщила , что до конца апреля 2026 года Kimsuky провела несколько кампаний против целей в Южной Корее. В одной злоумышленники имитировали страницу установки защитного ПО для корпоративного B2B-мессенджера, в другой создали поддельную страницу Webex. Оба сценария строились не на случайной приманке, а на доверии к знакомым рабочим сервисам.
В кампании с защитным ПО жертва попадала на страницу, похожую на страницу установки компонентов безопасности. Кнопки «скачать» и «полная установка» загружали нелегитимные программы, а дропперы под видом установщиков nProtect Online Security и AhnLab Safe Transaction. После запуска файл показывал жертве легитимный установщик-приманку, а в фоновом режиме расшифровывал и запускал следующий этап заражения.
Исследователи заметили любопытную деталь: HTML-код фальшивой страницы злоумышленники скопировали со страницы Woori Bank, изменили под нужный сервис и добавили чужой логотип. Такой ход помогал быстро собрать убедительную копию корпоративной страницы без разработки с нуля.
Отдельная кампания выглядела опаснее, потому что Kimsuky использовала настоящее расписание встречи Webex. Поддельная страница показывала размытый экран входа в конференцию, а через несколько секунд просила установить «обновление камеры». После нажатия кнопки жертва получала архив с JSE-файлом. Скрипт скрыто запускал вредоносный загрузчик, а затем открывал HTML-приманку, которая перенаправляла пользователя в настоящую комнату Webex.
По версии ENKI Whitehat, злоумышленники, вероятно, заранее взломали устройство или учетную запись одного из участников встречи, получили доступ к расписанию и на основе реального события собрали фишинговую страницу для остальных участников. Такой прием резко повышает доверие к атаке: человек видит знакомую встречу, узнает контекст и меньше сомневается в просьбе установить «обновление».
В отчете отдельно описана техника JSONPing. Фишинговая страница через JSONP обращалась к локальному серверу, который вредоносная программа запускала на компьютере жертвы. Браузер выполнял ответ как скрипт, а страница понимала, запущена ли вредоносная программа. Если заражение не сработало, сайт снова показывал предложение установить нужный файл.
Конечной полезной нагрузкой исследователи назвали вариант HttpSpy. Раньше похожие версии работали как один исполняемый файл, но новая цепочка разделила заражение на несколько этапов: установщик, загрузчик и основной модуль. Такой подход усложняет анализ и позволяет злоумышленникам гибче доставлять полезную нагрузку только выбранным жертвам.
HttpSpy работает как удаленный троян . Вредоносная программа связывается с сервером управления через HTTP POST, шифрует данные RC4 и кодирует трафик в Base64. Набор команд позволяет выполнять команды оболочки, скачивать и отправлять файлы, делать скриншоты, обновлять конфигурацию, проверять сетевые соединения, внедрять DLL в другой процесс и удалять следы присутствия.
Для закрепления в системе вредоносная цепочка использовала планировщик задач или автозапуск через реестр. В некоторых вариантах загрузчик проверял наличие виртуальных машин и инструментов анализа, а при обнаружении VMware, VirtualBox или исследовательских утилит завершал работу. Такой фильтр помогает вредоносной программе не раскрывать поведение в песочницах и лабораториях.
ENKI Whitehat связала кампании с Kimsuky по нескольким признакам. В разных образцах совпадали ключи RC4, инфраструктура, шаблоны кода, имена экспортируемых функций и подход к запуску DLL через regsvr32. Исследователи также указали на пересечение с прежними операциями Kimsuky, включая использование стандартного HTTPS-сертификата XAMPP на инфраструктуре атакующих и характерные автономные системы.
Отдельные фишинговые образцы маскировались под внутренние документы южнокорейских компаний. Два JSE-файла доставляли тот же вариант HttpSpy, что и поддельная страница Webex. В одном случае метаданные документа-приманки содержали имя пользователя jira, совпадающее с именем в PDB-пути одного из загрузчиков.
Авторы отчета считают, что Kimsuky усложнила не только вредоносное ПО, но и саму доставку. Группировка стала проверять успешность заражения в реальном времени, строить фишинговые страницы на основе реальных рабочих событий и маскировать установщики под обязательные компоненты безопасности. Для жертвы такая атака выглядит не как подозрительное письмо с вложением, а как привычная рабочая процедура, которая возникает прямо перед встречей или входом в корпоративный сервис.
Северокорейская группировка Kimsuky больше не ограничивается грубой рассылкой вредоносных файлов. В новых атаках на военные и корпоративные структуры Южной Кореи злоумышленники подделывали привычные рабочие страницы, использовали реальные детали встреч и прямо через браузер проверяли, запустила ли жертва вредоносную программу.
Команда ENKI Whitehat сообщила , что до конца апреля 2026 года Kimsuky провела несколько кампаний против целей в Южной Корее. В одной злоумышленники имитировали страницу установки защитного ПО для корпоративного B2B-мессенджера, в другой создали поддельную страницу Webex. Оба сценария строились не на случайной приманке, а на доверии к знакомым рабочим сервисам.
В кампании с защитным ПО жертва попадала на страницу, похожую на страницу установки компонентов безопасности. Кнопки «скачать» и «полная установка» загружали нелегитимные программы, а дропперы под видом установщиков nProtect Online Security и AhnLab Safe Transaction. После запуска файл показывал жертве легитимный установщик-приманку, а в фоновом режиме расшифровывал и запускал следующий этап заражения.
Исследователи заметили любопытную деталь: HTML-код фальшивой страницы злоумышленники скопировали со страницы Woori Bank, изменили под нужный сервис и добавили чужой логотип. Такой ход помогал быстро собрать убедительную копию корпоративной страницы без разработки с нуля.
Отдельная кампания выглядела опаснее, потому что Kimsuky использовала настоящее расписание встречи Webex. Поддельная страница показывала размытый экран входа в конференцию, а через несколько секунд просила установить «обновление камеры». После нажатия кнопки жертва получала архив с JSE-файлом. Скрипт скрыто запускал вредоносный загрузчик, а затем открывал HTML-приманку, которая перенаправляла пользователя в настоящую комнату Webex.
По версии ENKI Whitehat, злоумышленники, вероятно, заранее взломали устройство или учетную запись одного из участников встречи, получили доступ к расписанию и на основе реального события собрали фишинговую страницу для остальных участников. Такой прием резко повышает доверие к атаке: человек видит знакомую встречу, узнает контекст и меньше сомневается в просьбе установить «обновление».
В отчете отдельно описана техника JSONPing. Фишинговая страница через JSONP обращалась к локальному серверу, который вредоносная программа запускала на компьютере жертвы. Браузер выполнял ответ как скрипт, а страница понимала, запущена ли вредоносная программа. Если заражение не сработало, сайт снова показывал предложение установить нужный файл.
Конечной полезной нагрузкой исследователи назвали вариант HttpSpy. Раньше похожие версии работали как один исполняемый файл, но новая цепочка разделила заражение на несколько этапов: установщик, загрузчик и основной модуль. Такой подход усложняет анализ и позволяет злоумышленникам гибче доставлять полезную нагрузку только выбранным жертвам.
HttpSpy работает как удаленный троян . Вредоносная программа связывается с сервером управления через HTTP POST, шифрует данные RC4 и кодирует трафик в Base64. Набор команд позволяет выполнять команды оболочки, скачивать и отправлять файлы, делать скриншоты, обновлять конфигурацию, проверять сетевые соединения, внедрять DLL в другой процесс и удалять следы присутствия.
Для закрепления в системе вредоносная цепочка использовала планировщик задач или автозапуск через реестр. В некоторых вариантах загрузчик проверял наличие виртуальных машин и инструментов анализа, а при обнаружении VMware, VirtualBox или исследовательских утилит завершал работу. Такой фильтр помогает вредоносной программе не раскрывать поведение в песочницах и лабораториях.
ENKI Whitehat связала кампании с Kimsuky по нескольким признакам. В разных образцах совпадали ключи RC4, инфраструктура, шаблоны кода, имена экспортируемых функций и подход к запуску DLL через regsvr32. Исследователи также указали на пересечение с прежними операциями Kimsuky, включая использование стандартного HTTPS-сертификата XAMPP на инфраструктуре атакующих и характерные автономные системы.
Отдельные фишинговые образцы маскировались под внутренние документы южнокорейских компаний. Два JSE-файла доставляли тот же вариант HttpSpy, что и поддельная страница Webex. В одном случае метаданные документа-приманки содержали имя пользователя jira, совпадающее с именем в PDB-пути одного из загрузчиков.
Авторы отчета считают, что Kimsuky усложнила не только вредоносное ПО, но и саму доставку. Группировка стала проверять успешность заражения в реальном времени, строить фишинговые страницы на основе реальных рабочих событий и маскировать установщики под обязательные компоненты безопасности. Для жертвы такая атака выглядит не как подозрительное письмо с вложением, а как привычная рабочая процедура, которая возникает прямо перед встречей или входом в корпоративный сервис.